@ignorenonframefalse

Лабораторная работа №1

Кибербезопасность предприятия

Аскеров Александр Эдуардович; Замбалова Дина Владимировна;
Кузнецова София Вадимовна; Поляков Глеб Сергеевич;
Скандарова Полина Юрьевна; Тарутина Кристина Еленовна;
Цвелев Сергей Андреевич; Шулуужук Айраана Вячеславовна

Российский университет дружбы народов, Москва, Россия

Учебная группа НПИбд-01-22

01.10.2025

Цель лабораторной работы

Целью лабораторной работы является исследование сценария целенаправленной атаки на корпоративный мессенджер и сопутствующие сервисы, выявить и продемонстрировать эксплуатацию реальных уязвимостей (WpDiscuz, ProxyLogon, RocketChat), а также отработать методы обнаружения, локализации и нейтрализации последствий компрометации для восстановления безопасности информационной инфраструктуры организации.

Теоретическое введение

Легенда. Защита корпоративного мессенджера

Конкуренты решили скомпрометировать деятельность Компании и нашли для этого исполнителя. Злоумышленник находит в Интернете сайт соответствующего предприятия и решает провести атаку на него с целью получения доступа к внутренним ресурсам. Проэксплуатировав обнаруженную на сайте уязвимость, нарушитель стремится захватить управление другими ресурсами защищаемой сети, в том числе, пытается закрепиться на почтовом сервере и продолжить атаку. Главная задача злоумышленника - получение доступа к переписке сотрудников компании, раскрытие учётных данных пользователей, зарегистрированных в приложении корпоративного мессенджера, с целью использования их для нанесения ущерба репутации конкурирующей Компании.

Теоретическое введение

Описание уязвимостей

WpDiscuz

CVE-2020-24186 – это уязвимость в плагине для создания комментариев WpDiscuz версии с 7.0.0 по 7.0.4 включительно. Уязвимость позволяет получить RCE (удаленное выполнение кода).

Proxylogon

Proxylogon представляет собой SSRFуязвимость, позволяющую обойти аутентификацию и выдать себя за администратора.

Следующий шаг после SSRF – эксплуатация CVE 2020-27065. Данная уязвимость является следствием неэффективного ограничения выбора расположения backup виртуальной директории автономных адресных книг.

Теоретическое введение

Описание уязвимостей

RocketChat

CVE-2021-22911 представляет собой сочетание из двух SQL-инъекций: - слепая NoSQL-инъекция, - NoSQL-инъекция №2: повышение привилегий.

CVE-2022-0847 (Dirty Pipe) представляет собой уязвимость повышения привилегий, находящаяся в самом ядре Linux версии 5.8 и выше.

Ход выполнения лабораторной работы

Подключение к серверу

Ход выполнения лабораторной работы

Вектор атаки

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Подключение к удаленному рабочему столу

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Просмотр пароля

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Вход в KeyPass 2

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Папка атакованного сервера

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Атакованный сервер

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Авторизация

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Плагин UpdraftPlus в репозитории WordPress

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Существующие резервные копии UpdraftPlus

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Компоненты для восстановления

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Ошибка восстановления

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Успешное выполнение восстановления

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Обновленная страница сайта

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Отображение информации о TCP-соединениях. Процесс закрытия meterpreter-сессии

Уязвимый узел WpDiscuz

Обнаружение и нейтрализация полезных нагрузок

Уязвимость и последствия устранены

Уязвимый узел Proxylogon

Обнаружение CVE 2021-26855 (SSRF) средствами ОС

Подключение к удаленному рабочему столу

Уязвимый узел Proxylogon

Обнаружение CVE 2021-26855 (SSRF) средствами ОС

Подключение к удаленному рабочему столу

Уязвимый узел Proxylogon

Обнаружение CVE 2021-26855 (SSRF) средствами ОС

Артефакты, оставленные атакой в журнале «IIS»

Уязвимый узел Proxylogon

Обнаружение CVE 2021-26855 (SSRF) средствами ОС

Артефакты, оставленные атакой в журнале «IIS»

Уязвимый узел Proxylogon

Обнаружение CVE 2021-26855 (SSRF) средствами ViPNet IDS NS

Вход в ViPNet IDS NS

Уязвимый узел Proxylogon

Обнаружение CVE 2021-26855 (SSRF) средствами ViPNet IDS NS

Список событий, направленных на уязвимый сервер

Уязвимый узел Proxylogon

Устранение уязвимостей

Окно Internet Information Services (IIS) Manager

Уязвимый узел Proxylogon

Устранение уязвимостей

«IP Address and Domain Restrictions»

Уязвимый узел Proxylogon

Устранение уязвимостей

Сокет с узлом нарушителя

Уязвимый узел Proxylogon

Устранение уязвимостей

Завершение процессов

Уязвимый узел Proxylogon

Устранение уязвимостей

Удаление файла

Уязвимый узел Proxylogon

Устранение уязвимостей

Уязвимость и последствия устранены

Уязвимый узел RocketChat

Устранение CVE-2021-22911 (NoSQL Injection)

Восстановление пароля

Уязвимый узел RocketChat

Устранение CVE-2021-22911 (NoSQL Injection)

Ссылка для сброса пароля

Уязвимый узел RocketChat

Устранение CVE-2021-22911 (NoSQL Injection)

Генерация одноразового пароля

Уязвимый узел RocketChat

Устранение CVE-2021-22911 (NoSQL Injection)

Генерация одноразового пароля

Уязвимый узел RocketChat

Устранение CVE-2021-22911 (NoSQL Injection)

Двухфакторная аутентификация

Уязвимый узел RocketChat

Устранение CVE-2021-22911 (NoSQL Injection)

Настройка конфигурации БД

Уязвимый узел RocketChat

Обнаружение и нейтрализация полезных нагрузок

Пример сокета с узлом нарушителя

Уязвимый узел RocketChat

Обнаружение и нейтрализация полезных нагрузок

Уязвимость и последствия устранены

Карточки индидентов

WP Disckuz RCE

Карточки индидентов

Proxylogon

Карточки индидентов

Rocketchat RCE

Вывод

В ходе выполнения данной лабораторной работы мы исследовали сценарии целенаправленной атаки на корпоративный мессенджер и сопутствующие сервисы, выявили и продемонстрировали эксплуатацию реальных уязвимостей (WpDiscuz, ProxyLogon, RocketChat), а также отработали методы обнаружения, локализации и нейтрализации последствий компрометации для восстановления безопасности информационной инфраструктуры организации.